atotal3.exe 악성코드 분석 보고서
1. 개요
1.1. 파일정보
구분 |
내용 |
파일명 |
atotal3.exe |
파일크기 |
438,272 byte |
진단명 |
Trojan/W32.Agent.438272.SW |
악성동작 |
게임 실행화면 탈취, 파일 생성실행 |
네트워크 |
115.**.***.158 에서 다운로드 |
1.2. 유포경로
atotal3.exe 는 네이트 피싱사이트 nete.kr(115.**.***.158)에서 유포되었다. 정상 사이트(nate.com)와 URL이 비슷한 피싱사이트는 접속 시 정상 사이트와 외관이 동일하기 때문에 이용자가 쉽게 정상 사이트로 착각할 수 있다.
피싱 사이트는 정상 사이트의 정보를 그대로 가져와 보여주지만 페이지 소스코드를 살펴보면 세 개의 악성함수가 숨겨져 있으며, 이 함수를 통해 악성코드를 다운받을 수 있다.
[그림] 정상 사이트(위)와 피싱사이트(아래)
[그림] 피싱사이트 소스코드 내 악성 함수
2. 분석정보
2.1. 실행 과정
악성코드 atotal3.exe는 최초 실행 시 다른 여러 악성파일을 System32폴더 하위에 생성하고 각각 실행시킨다. 재부팅 이후에는 atotal3.exe가 아닌 새로 실행된 프로세스로부터 또 다른 파일들이 생성 및 실행되며, 일련의 악성 파일들은 아래에서 확인할 수 있다.
파일 명 |
특징 |
atotal3.exe |
최초 악성파일, 복구 방해 |
ghoO119.exe |
복구 방해 |
rvmsv.exe |
정보유출(은닉) |
winNetSc.exe |
서비스, 다운로드(a****0*.org/inh1mvp/mpxp.exe) |
mpxp.exe |
|
rcvmsu.exe |
정보유출(은닉) |
ocmrc32.exe |
정보유출(은닉) |
ntsvcnet32.exe |
정보유출(은닉) |
nthost32.exe |
정보유출(은닉) |
wmxmic.exe |
다운로드(a****0*.org/inh1mvp/x) |
winNetSc.exe |
반복 실행 구조 |
[표] 생성 및 실행되는 파일들
atotal3.exe로부터 최초 실행 된 winNetSc.exe는 “Network State Protection check”, “윈도우 네트”란 이름으로 위장하여 악성 서버 http://a****0*.org/inh1mvp/mpxp.exe 로 부터 mpxp.exe를 다운로드 및 실행하는 역할을 한다.
3.1. 생존주기 연장 (복구 방해)
만약 PC에 실행 중인 프로세스 중 irpor.exe 나 remon.exe가 있을 경우 atotal3.exe는 세 개의 dll파일을 System32폴더에 생성한다. irpro.exe와 remon.exe는 PC복구에 사용되는 롤백 프로그램 ComBack 5 의 실행파일이다.
생성된 dll파일 중 2개 파일은 정상파일이며, ExtDLL32.dll 파일은 PC복구에 사용될 것으로 보이는 외부함수 Recover32가 아무런 기능을 하지 않도록 수정되어 있다.
[그림] 정상파일과 생성파일 비교
[그림] 정상(좌)과 악성(우) ExtDLL32.dll 파일의 외부함수, Recover32 비교
ghoO119.exe 또한 시스템 복구 방해 동작을 한다. D드라이브 하위 모든 폴더에 .gho 확장자를 갖는 파일이 있으면 이 확장자를 .GH0(0은 숫자)로 변경하고 숨김 속성을 부여한다. .gho확장자는 PC 롤백 프로그램 Ghost 가 사용하는 이미지 파일의 확장자이다. 확장자를 변경함으로써 Ghost 프로그램이 롤백에 필요한 이미지 파일을 찾을 수 없게 만든다.
이후 srclient.dll 모듈의 외부함수 DisableSR을 호출하는데, 이 함수는 시스템 복원(System Restore)을 하지 않도록 설정한다.
[그림] 확장자 변경 gho -> GH0
[그림] 시스템 복원 설정 변경
3.2. 생존주기 연장 (반복 실행, 업데이트)
“Network State Protection check”란 이름으로 위장한 악성 서비스 파일 winNetSc.exe 은 파일을 다운받아 실행한다. 다운로드 된 mpxp.exe 파일은 여러 새로운 파일을 System32폴더 하위에 생성하고 실행시킨다. 이 동작은 감염 즉시 나타나지 않고 재부팅이 되어야만 동작한다.
wmxmic.exe |
ocmrc32.exe |
rcvmsu.exe |
ntsvcnet32.exe |
nthost32.exe |
mp119.bat (자가삭제용) |
[표] 다운로드 된 mpxp.exe가 새로 생성하는 파일들
이 파일 중 wmxmic.exe는 동일 악성 서버 http://a****0*.org/inh1mvp/x 로 부터 또 다른 파일을 다운받아 실행하는데, 이 파일은 최초 생성된 악성파일 winNetSc.exe와 동일한 파일이다.
이처럼 악성파일은 반복 실행 구조를 갖고 있기 때문에, 모든 악성 프로세스를 동시에 종료하고 치료하지 않는 이상 치료가 되지 않는다. 또한 반복적으로 다운로드, 실행 하기에 언제든지 새로운 악성코드로 교체될 여지가 남아있다.
[그림] 반복 실행 구조
3.3. 게임관련 정보 탈취
은닉상태로 실행되는 모든 프로세스들은 각종 게임 프로세스에 대한 실행화면 유출 동작을 수행한다. 공격 대상 프로세스 및 유출정보 전송 서버 주소는 아래와 같다. 일반적인 PWS형 악성코드가 로그인 정보를 탈취하는 것과 달리, 사행성 게임을 목표로 하는 이 악성코드는 게임의 실행 화면을 캡쳐하여 유출한다.
|
복호화 전 |
복호화 후 |
공격 대상 |
oojeq;aacuji;b`dtgh;fortnp;m`tfo;bfbfg`md; |
poker;baduki;badugi;gostop;matgo;bgdggame; |
전송 서버 |
2905484:8A8==A |
27.***.***.113:8001 |
[표] 악성 행위 대상 프로세스 및 전송 서버
4. 결론
atotal3.exe는 안티 백신 보다 PC복구 방해를 통한 감염 지속에 초점을 맞추고 있다. 이러한 특징은 PC방 등 많은 사람이 사용하는 영업용 PC에 더 위협적으로 다가온다. PC방에서 사용하는 PC는 보통 실시간 감시 기능을 사용하지 않고, 재부팅 될 때 마다 PC를 복구(롤백)하는 방식으로 시스템을 유지한다. 특히 공격 대상 중 하나인 ComBack 5의 경우, PC방 관리 프로그램 제작업체에서 만든 전용 유틸리티기도 하다.
맞고, 포커 등 사행성 게임의 게임 머니 또한 다른 게임 아이템과 마찬가지로 현금 거래가 가능하다. 특히나 이 경우, 비밀번호를 탈취하여 자산을 빼돌리는 것이 아닌, 게임화면을 캡쳐하는 방식으로 동작하기 때문에 로그인 알림, OTP 등의 계정 보안 서비스와는 무관하게 피해를 입을 수 있다.
잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.
[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면
[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[악성코드 분석] pmsis.exe (개인정보 유출) (0) | 2016.01.26 |
---|---|
[악성코드 분석] HashCop_Bypass.exe (토렌트를 통한 악성코드 유포) (0) | 2016.01.13 |
[악성코드 분석] fgrfev1.1.exe (2) | 2015.12.29 |
[악성코드 분석] zxarps.exe (0) | 2015.12.24 |
[악성코드 분석] Cribinst.exe (인터넷 뱅킹 파밍) (0) | 2015.12.23 |